ISO27002(ISO/IEC27002)标准介绍
Information technology--Security techniques--Code of practice for information security management
信息技术—安全技术—信息安全管理实用规则
ISO27002标准将取代ISO/IEC27002:2005,直接由ISO/IEC27002:2005更改标准编号为ISO/IEC27002,计划2007年4月实施。
ISO27002标准介绍:
ISO27002标准为在组织内启动、实施、保持和改进信息安全管理提供指南和通用的原则。ISO27002标准概述的目标提供了有关信息安全管理通常公认的目标的通用指南。
ISO27002标准的控制目标和控制措施预期被实施以满足由风险评估所识别的要求。ISO27002标准可以作为一个实践指南服务于开发组织的安全标准和有效的安全管理实践,帮助构建组织间活动的信心。
ISO27002标准包含的实施规则可以认为是开发组织具体指南的起点。本实施规则中的控制和指导并不全都是适用的。而且,可能需要ISO27002标准中未包括的附加控制和指南。当开发包括附加控制和指南的文件时,包括对本标准适用的条款进行交叉引用可能是有用的,该交叉引用便于审核员和商业伙伴进行符合性核查。
ISO27002标准目录:
前言
0引言
0.1什么是信息安全
0.2为什么需要信息安全
0.3如何建立安全要求
0.4评估安全风险
0.5选择控制措施
0.6信息安全起点
0.7关键的成功因素
0.8开发自己的指南
1范围
2术语和定义
3标准的结构
3.1条款
3.2主要安全类别
4风险评估和处理
4.1评估安全风险
4.2处理安全风险
5安全方针
5.1信息安全方针
5.1.1信息安全方针文件
5.1.2信息安全方针评审
6信息安全组织
6.1内部组织
6.1.1信息安全管理承诺
6.1.2信息安全协作
6.1.3信息安全职责分配
6.1.4信息处理设施的授权过程
6.1.5保密协议
6.1.6与权威机构的联系
6.1.7与专业兴趣小组联系
6.1.8信息安全的独立评审
6.2外部相关方
6.2.1与外部相关方相关的风险的识别
6.2.2致力于与顾客相关的安全
6.2.3第三方协议中涉及的安全
7资产管理
7.1资产责任
7.1.1资产清单
7.1.2资产所有权
7.1.3资产的恰当使用
7.2信息分类
7.2.1分类原则
7.2.2信息标识和处理
8人员安全
8.1聘用前
8.1.1角色和责任
8.1.2筛选
8.1.3聘用条款和条件
8.2聘用期间
8.2.1管理职责
8.2.2信息安全意识、培训和程序
8.2.3惩戒过程
8.3聘用终止或变化
8.3.1终止责任
8.3.2资产归还
8.3.3访问权的删除
9物理和环境安全
9.1安全区域
9.1.1物理安全周界
9.1.2物理进入控制
9.1.3安全办公室、房间和设施
9.1.4防范外部的和环境的威胁
9.1.5在安全区工作
9.1.6公共访问、交付和存储区
9.2设备安全
9.2.1设备定位和保护
9.2.2支持性设施
9.2.3电缆安全
9.2.4设备维护
9.2.5场所外设备的安全
9.2.6设备的安全处置和再利用
9.2.7资产转移
10通信和运作管理
10.1操作程序和职责
10.1.1操作程序文件化
10.1.2变更管理
10.1.3责任分离
10.1.4开发、测试和运作设施的隔离
10.2第三方服务交付管理
10.2.1服务交付
10.2.2第三方服务的监控和评审
10.2.3管理第三方服务的更改
10.3系统策划与验收
10.3.1容量管理
10.3.2系统验收
10.4防范恶意软件和移动代码
10.4.1防范恶意代码
10.4.2防范移动代码
10.5备份
10.5.1信息备份
10.6网络安全管理
10.6.1网络控制
10.6.2网络服务的安全
10.7介质的处理
10.7.1可移动计算机存储介质的管理
10.7.2介质的处置
10.7.3信息处理程序
10.7.4系统文件的安全
10.8.1信息交换方针和程序
10.8.2交换协议
10.8.3物理介质的运输
10.8.4电子通信
10.8.5商业信息系统
10.9电子商务服务
10.9.1电子商务
10.9.2在线交易
10.9.3公共可用信息
10.10监控
10.10.1审核日志
10.10.2监控系统使用
10.10.3日志信息的保护
10.10.4管理员或操作员日志
10.10.5故障日志
10.10.6时钟同步
11访问控制
11.1访问控制的业务需求
11.1.1访问控制方针
11.2用户访问管理
11.2.1用户注册
11.2.2特权管理
11.2.3用户口令管理
11.2.4用户访问权的评审
11.3用户责任
11.3.1口令使用
11.3.2无人值守的用户设备
11.3.3清洁桌面和清除屏幕方针
11.4网络访问控制
11.4.1网络服务的使用方针
11.4.2外部连接的用户验证
11.4.3网络中设备的鉴别
11.4.4远程诊断和配置端口保护
11.4.5网络分离
11.4.6网络连接控制
11.4.7网络路由控制
11.5操作系统访问控制
11.5.1安全登录程序
11.5.2用户识别和验证
11.5.3口令管理系统
11.5.4系统实用程序的使用
11.5.5会话超时
11.5.6连接时间限制
11.6应用程序以及信息访问控制
11.6.1信息访问限制
11.6.2敏感系统隔离
11.7移动计算和远程工作
11.7.1移动计算和通信
11.7.2远程工作
12信息系统的信息采集、开发以及维护
12.1信息系统的安全需求
12.1.1安全需求分析和规范
12.2应用程序的正确处理
12.2.1输入数据的验证
12.2.2内部作业的管理
12.2.3消息完整性
12.2.4输出数据验证
12.3加密控制
12.3.1使用密码控制的方针
12.3.2密钥管理
12.4系统文件的安全
12.4.1操作软件的控制
12.4.2系统测试数据的保护
12.4.3对程序资源库的访问控制
12.5开发和支持过程的安全
12.5.1变更控制程序
12.5.2操作系统变更的技术复查
12.5.3改变软件包的限制
12.5.4信息泄露
12.5.5外包软件开发
12.6技术薄弱点管理
12.6.1技术薄弱点的控制
13信息安全事故管理
13.1报告信息安全事情和薄弱点
13.1.1报告安全事情
13.1.2报告安全弱点
13.2信息安全事件管理和改进
13.2.1责任和程序
13.2.2吸取事故教训
13.2.3证据的收集
14业务持续性管理
14.1业务连续性管理的信息安全方面
14.1.1在业务连续性管理过程中包含信息安全
14.1.2业务连续性和风险评估
14.1.3编写和执行包括信息安全在内的连续性计划
14.1.4业务连续性计划框架
14.1.5测试、维护和重新评估业务连续性计划
15符合性
15.1符合法律要求
15.1.1适用法律的辨别
15.1.2知识产权(IPR)
15.1.3保护组织记录
15.1.4数据保护和个人信息的保密
15.1.5防止信息处理设备的误用
15.1.6密码管理的规定
15.2与安全方针和标准的符合性
15.2.1符合安全方针和标准
15.2.2技术符合性检测
15.3信息系统审核相关事宜
15.3.1信息系统审核控制
15.3.2系统审查工具的保护.
